AWS Key Management Service 中的数据保护 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Key Management Service 中的数据保护

AWS Key Management Service 存储和保护您的加密密钥,使其具有高度可用性,同时为您提供强大而灵活的访问控制。

数据加密

AWS KMS 中的数据包括客户主密钥(CMK) 及其代表的加密密钥材料。此密钥材料仅以明文形式存在于 AWS KMS 硬件安全模块 (HSM) 中,且仅在使用中。否则,密钥材料将被加密并存储在持久的持久存储中。

AWS KMS 为 CMK 生成的密钥材料永远不会离开未加密的 AWS KMS HSM 的边界。它不会在任何 AWS KMS API 操作中导出或传输。

静态加密

AWS KMS 在 FIPS 140-2 级 2 级硬件安全模块 (HSM) 中生成客户主密钥 (CMK) 的密钥材料。不使用密钥材料时,HSM 会对密钥材料进行加密,并将其写入持久的持久存储中。CMK 的密钥材料和保护密钥材料的加密密钥永远不会以明文形式保留 HSM。

CMK 的密钥材料的加密和管理完全由 AWS KMS 处理。

有关更多详细信息,请参阅使用客户主密钥中的 AWS Key Management Service 加密详细信息。

传输中加密

AWS KMS 为 CMK 生成的关键材料永远不会在 AWS KMS API 操作中导出或传输。AWS KMS 使用密钥标识符来表示 API 操作中的 CMK。同样,AWS KMS 中 CMK 的关键材料自定义密钥存储不可导出,并且永远不会在 AWS KMS 或 AWS CloudHSM API 操作中传输。

但是,某些 AWS KMS API 操作会返回数据密钥。此外,客户还可以使用 API 操作导入密钥材料对于选定的 CMK。

所有 AWS KMS API 调用都必须使用传输层安全性 (TLS) 1.2 或更高版本进行签名并传输。对 AWS KMS 的调用还需要一个现代化的密码套件,该套件支持完美的正向保密,这意味着任何秘密(如私钥)的泄露都不会损害会话密钥。

如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 终端节点。有关可用的 FIPS 终端节点的更多信息,请参阅美国联邦信息处理标准 (FIPS) 第 140-2 版。有关 AWS KMS FIPS 终端节点的列表,请参阅AWS Key Management Service 终端节点和配额中的 AWS 一般参考。

AWS KMS 服务主机与 HSM 之间的通信在经过身份验证的加密方案中使用椭圆曲线加密 (ECC) 和高级加密标准 (AES) 进行保护。有关更多详细信息,请参阅内部通信安全中的 AWS Key Management Service 加密详细信息。

密钥管理

AWS KMS 不直接存储客户数据。相反,AWS KMS 负责存储和保护客户主密钥 (CMK),这些主密钥是由加密密钥材料支持的逻辑实体。

AWS KMS CMK 的关键材料由 FIPS 140-2 级验证的硬件安全模块 (HSM) 组成的分布式队列提供支持。每个 AWS KMS HSM 都是一个独立的加密硬件设备,旨在提供专用的加密功能,以满足 AWS KMS 的安全性和可扩展性要求。

CMK 的密钥材料仅以明文形式存在于 HSM 中,并且只有在密钥材料生成或正在加密操作中使用时才会存在。

在不使用时,密钥材料会在 HSM 上加密,并将加密密钥材料写入持久、低延迟的持久存储。保护密钥材料的加密密钥永远不会以明文形式保留 HSM。没有任何机制供任何人(包括 AWS 服务运营商)以明文形式导出或查看密钥材料或 HSM 加密密钥。

自定义密钥存储(可选的 AWS KMS 功能)允许您创建由您控制的 AWS CloudHSM 硬件安全模块中生成的关键材料支持的 CMK。这些 HSM 通过FIPS 140-2 级 3 级

另一个可选功能允许您导入密钥材料中的 CMK。在从源代码传输到 AWS KMS 的过程中,必须使用 AWS KMS HSM 中生成的 RSA 密钥对对对导入的密钥材料进行加密。导入的密钥材料在 AWS KMS HSM 上进行解密,并在 HSM 中使用对称密钥进行重新加密。这些操作是在导入的密钥材料与 AWS KMS 生成的密钥材料一起存储之前执行的。导入后,导入的密钥材料永远不会使 HSM 处于未加密状态。提供密钥材料的客户负责在 AWS KMS 之外安全使用、持久性和维护关键材料。

有关 CMK 和关键材料管理的详细信息,请参阅AWS Key Management Service 加密详细信息

互联网络流量隐私

AWS KMS 支持 AWS 管理控制台和一组 API 操作,使您能够创建和管理客户主密钥 (CMK) 并在加密操作中使用它们。

AWS KMS 支持从您的私有网络到 AWS 的两种网络连接选项。

  • 通过 Internet 实现的 IPsec VPN 连接

  • AWS Direct Connect,它通过标准的以太网光纤电缆将您的内部网络连接到 AWS Direct Connect 位置。

为确保隐私,必须对所有 AWS KMS API 调用进行签名并通过传输层安全协议 (TLS) 1.2 或更高版本进行传输。这些调用还需要一个现代化的密码套件,该套件支持完美的正向保密。仅允许通过 AWS 内部网络从已知的 AWS KMS API 主机发送到存储 CMK 密钥材料的硬件安全模块 (HSM) 的流量。

要从虚拟私有云 (VPC) 直接连接到 AWS KMS,而不通过公有 Internet 发送流量,请使用 AWS PrivateLink 支持的 VPC 终端节点。有关更多信息,请参阅 通过 VPC 终端节点连接到 AWS KMS

AWS KMS 还支持混合后量子密钥交换选项,用于传输层安全性 (TLS) 网络加密协议。当您连接到 KMS API 终端节点时,您可以将此选项与 TLS 一起使用。